Chrome恶意插件：你的数据和机器都会在我手上

Posted 2021-04-28 行长叠报

大家好，我是穿沙滩裤的小编

要问我今天为什么这么骚

因为上海突然32℃了！

热的抠脚，最为致命

---

不得不说，Chrome浏览器给我们带来了很大的方便，但是我们在享受便捷的同时，有没有想过：恶意插件正潜伏在我们的浏览器里，随时会窃取我们的个人信息……

背景

恶意软件感染链

安全公司Radware在其客户中检测到一款零日恶意软件，它通过Facebook上的链接进行传播，并滥用Google Chrome扩展程序（'Nigelify'），执行凭证窃取、加密、点击欺诈等操作来感染用户。

自2018年3月以来，该恶意软件已经在全球范围内感染了超过10万名用户。

感染过程

由于最初的Nigelify应用程序将图片替换为“Nigel Thornberry”，并且导致大部分感染，Radware将其称为恶意软件“Nigelthorn”。 恶意软件将受害者重定向到一个虚假的YouTube页面，并要求用户安装Chrome扩展程序来播放视频。

伪YouTube页面

一旦用户点击“添加扩展”，恶意扩展就会被安装，机器成为僵尸网络的一部分。恶意软件基于Chrome，在Windows和Linux上运行。而且，这一活动只针对Chrome浏览器，不使用Chrome的用户不会受到威胁。

绕过Google应用程序验证工具

操纵者创建了合法扩展的副本，并注入一个简短的混淆恶意脚本来启动恶意软件操作。

（左边）合法版本，（右边）恶意版本

Radware认为，这样做是为了绕过谷歌的扩展验证检查。到目前为止，研究小组已经观察到其中的7个恶意扩展，其中4个已经被Google的安全算法识别和阻止。Nigelify和PwnerLike保持活跃。

已知扩展程序

恶意软件

一旦在Chrome浏览器上安装了扩展，就会执行恶意javascript(参见下文)，从C2下载初始配置。

从C2获得的配置文件

然后将部署一组请求，每个请求都有自己的目的和触发器。以下是通讯协议。

恶意软件功能

数据盗窃

该恶意软件主要用于窃取Facebook登录凭证和Instagram cookie。如果在机器上登录(或者找到Instagram cookie)，它将被发送到C2。

然后将用户重定向到Facebook API以生成访问令牌，如果成功，该令牌也将被发送到C2。

Facebook传播

生成经过身份验证的用户的Facebook访问令牌，并开始传播阶段。 恶意软件为了将恶意链接传播到用户的网络，而收集相关的帐户信息。 访问C2路径“/php3/doms.php”并返回到随机URI。

 例如：

这个链接有两种方式：一种是通过Facebook Messenger发送的消息，另一种是包含最多50个联系人的标签的新帖子。一旦受害者点击链接，感染过程再次启动，并将其重定向到一个类似Youtube的网页，该网页需要一个“插件安装”来查看视频。

加密

恶意软件下载的另一个插件是一个加密工具。攻击者正在使用公开的浏览器挖掘工具，使受感染的机器开始挖掘加密货币。

JavaScript代码是从包含组控件和矿池的外部网站下载的。Radware注意到，在过去几天里，该小组试图挖掘三种不同的硬币(Monero, Bytecoin 和 Electroneum)，这些都是基于允许通过任何CPU进行挖掘的“CryptoNight”算法。

Radware观察到的矿池：

加密

持久性

该恶意软件使用多种技术来保持计算机上的持久性，并确保其在Facebook上的活动是持久的。

1.如果用户试图打开“扩展”选项卡以删除扩展，恶意软件将关闭该选项卡并阻止删除。

2.恶意软件从C2下载URI Regex，并阻止试图访问的用户。以下链接展示了恶意软件如何试图阻止访问看起来像是Facebook和Chrome的清理工具，甚至阻止用户编辑、删除帖子和发表评论。

YouTube欺诈

一旦下载并执行YouTube插件，恶意软件就会尝试访问C2上URI“/php3/youtube.php”来接收命令。检索到的指令可能是观看、喜欢或评论视频，也可以订阅页面。

Radware认为，该组织正试图从YouTube上获利，尽管还没有看到任何视频点击率很高。

C2指令的一个例子

恶意软件防护

零日恶意软件往往利用复杂的规避技术，绕过技能团队研究的现有保护措施。尽管有几种安全解决方案，Radware在一个保护良好的网络中发现的并未发现Nigelify。

Radware的机器学习算法分析了该大型组织的通信日志，关联了多个指标，并阻止了受感染机器的C2访问。

随着这种恶意软件的传播，该组织将继续寻找利用被盗资产的新方法。这些组织不断制造新的恶意软件和变异，以绕过安全控制。

Radware如何绕过安全Web网关识别恶意软件的解决方案体系

妥协指标

建议

尽管google已经删除了上面列出的所有扩展，但是如果你已经安装了其中的任何一个，那么建议您立即卸载它，并更改您的facebook、instagram以及其他您使用相同凭证的帐户的密码。

由于Facebook垃圾邮件活动非常普遍，所以建议用户在点击通过社交网站平台提供的链接和文件时保持警惕。

更多精彩

*IDEA值得分享 | 转载注明出处